Download/Open

Texto

(1)UNIVERSIDADE METODISTA DE SÃO PAULO FACULDADE DE CIÊNCIAS ADMINISTRATIVAS PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO. JOSE VALENTIN IGLESIAS PASCUAL. A APLICAÇÃO DO GERENCIAMENTO DE RISCOS NAS PMEs NA CIDADE DE SÃO BERNARDO DO CAMPO. DISSERTAÇÃO DE MESTRADO. SÃO BERNARDO DO CAMPO 2008.

(2) JOSE VALENTIN IGLESIAS PASCUAL. A aplicação do Gerenciamento de Riscos nas PMEs na cidade de São Bernardo do Campo. Dissertação apresentada ao Programa de Pós-Graduação em Administração da Faculdade de Ciências Administrativas – Universidade Metodista de São Paulo, como requisito à obtenção do título de Mestre em Administração. Orientador: Prof. Dr. Joshua Onome Imoniana.. SÃO BERNARDO DO CAMPO 2008.

(3) JOSE VALENTIN IGLESIAS PASCUAL. A APLICAÇÃO DO GERENCIAMENTO DE RISCOS NAS PMES NA CIDADE DE SÃO BERNARDO DO CAMPO. Dissertação apresentada ao Programa de PósGraduação em Administração da Faculdade de Ciências Administrativas – Universidade Metodista de São Paulo, como requisito à obtenção do título de Mestre em Administração.. Área de Concentração: Gestão de Finanças e Controles Data da Defesa: 14/02/2008 Resultado: ____________________________________. Banca Examinadora:. Joshua Onome Imoniana Prof. Dr. _________________________________ Orientador Universidade Metodista de São Paulo Elmo Tambosi Filho Prof. Dr. _________________________________ Examinador Interno Universidade Metodista de São Paulo Cesar Alexandre de Souza Prof. Dr. _________________________________ Examinador Externo Universidade de São Paulo USP/FEA.

(4) A minha esposa, minha mãe, meus irmãos e toda minha família..

(5) AGRADECIMENTOS Á Deus, por sua orientação espiritual nos meus momentos mais difíceis da minha vida;. A toda minha família, em especial minha esposa Vanessa e minha mãe Anésia, pelo apoio incondicional nesta jornada árdua e edificante para a conclusão deste meu segundo Mestrado.. Ao Prof. Dr. Joshua Onome Imonia, pela competência, coragem, orientação, paciência e motivação, graças a ele, este trabalho chegou ao seu término;. Ao Prof. Dr. Elmo Tambosi Filho, pela competência, colaboração e estímulo nesse processo de qualificação;. Ao Prof. Dr. Cesar Alexandre de Souza, pela competência, colaboração, estímulo, e importante contribuição nesse processo de qualificação;. Aos professores, Coordenadores de Curso da FCA, Diretor da FCA, Coordenador da Pós-Graduação da FCA e funcionários da Pós-Graduação e Graduação da UMESP, em especial à Esméria Freitas, secretária da Pós-Graduação em Administração, por suas informações, paciência e zelo profissional;.

(6) "Comece fazendo o que é necessário, depois o que é possível, e de repente você estará fazendo o impossível." São Francisco de Assis. "Algo só é impossível até que alguém duvide e acabe provando o contrário." Albert Einstein.

(7) RESUMO Este estudo analisa a utilização do gerenciamento de riscos em algumas Empresas de Pequeno e Médio Porte (PMEs) na cidade de São Bernardo do Campo. A análise do risco empresarial possui uma crescente importância e ela pode contribuir fortemente para a continuidade dos negócios. A capacidade para gerenciar os riscos do negócio em relação ás inevitáveis incertezas e com uma valorização futura dos resultados é um fator substancial de vantagem competitiva. Este processo de geração de valor providencia a disciplina e ferramentas de administração dos riscos empresariais permitindo a criação de valor para sua organização. As Metodologias de Análise de Risco, em sua maioria, são aplicadas para grandes corporações. Uma das motivações desse trabalho é verificar o grau de utilidade dessas metodologias para as empresas PMEs escolhidas para a pesquisa em São Bernardo do Campo. O estudo é desenvolvido por meio de pesquisas bibliográficas e pesquisa exploratória nas empresas escolhidas. Após as pesquisas, foi feita uma análise qualitativa utilizando o método de estudo de casos. Finalmente, conclui-se que as empresas pesquisadas de São Bernardo do Campo, podem obter vantagens significativas ao implantar metodologias de gerenciamento de risco. Todas as empresas pesquisadas possuem mais de dez anos e consideram importante controlar a continuidade de seus negócios. PALAVRAS-CHAVE: Riscos, gerenciamento de riscos empresariais, plano de continuidade dos negócios..

(8) ABSTRACT This study analyzes the risk management in the Small and Medium Enterprises (SMEs) in São Bernardo do Campo City. The analysis of the risk management has improved importance and can strongly contribute to the continuity of business. The capability to management business risk and avoid uncertainties with future value is a great factor for competitive advantage. This process of risk assessment permite discipline and administrate skills of business risk and creates value. The Risk Methodologies normaly are aplied to big companies. Examine the level of utility for any SMEs in São Bernardo City is a motivation for this search.This study adopts literature review and explore research sampled companies. After interviews, we performed a qualitative that conjugates with and the analysis of Cases Study Methodology. Finally, we conclude that all sampled companies can benefit from the risk management search and can get important benefits to implant skills of the risk management. It is important to note that all the researched companies possess more 10 years of existence and consider risk management as important to control the continuity of their business. KEY-WORDS: Risks, enterprise risks management, continuity plan business..

(9) LISTA DE FIGURAS FIGURA 1 – AMEAÇAS COMUNS. 10. FIGURA 2 – VULNERABILIDADES. 11. FIGURA 3 – RISCO OPERACIONAL.. 21. FIGURA 4 – TRÊS PILARES DO ACORDO DE BASILÉIA II.. 22. FIGURA 5 – IMPACTOS DO ACORDO DE BASILÉIA II NO BRASIL.. 23. FIGURA 6 – ERM OFFICE QUADRO ORGANIZACIONAL (SUGESTÃO. 27. COSO FRAMEWORK) FIGURA 7 – ERM OFFICE QUADRO FUNCIONAL. 28. FIGURA 8 – A MATURIDADE DAS ESTRUTURAS DE GERENCIAMENTO. 29. DO RISCO OPERACIONAL. FIGURA 9 – GRÁFICO PDCA DO PLANO DE CONTINUIDADE DE. 30. NEGÓCIOS NORMA 27000. FIGURA 10 – GERENCIAMENTO DE RISCOS – FERRAMENTAS DE. 64. FINANÇAS E CONTROLES. FIGURA 11 – GERENCIAMENTO DE RISCOS – FERRAMENTAS DE. 65. OPERAÇÕES. FIGURA 12 – GERENCIAMENTO DE RISCOS – FERRAMENTAS DE. 67. RELACIONAMENTO COM TERCEIROS. FIGURA. 13. –. GERENCIAMENTO. DE. RISCOS. –. IMPÁCTO. DAS. 68. FERRAMENTAS. FIGURA 14 – GERENCIAMENTO DE RISCOS – MATURIDADE. 69.

(10) SUMÁRIO 1. Introdução.. 1. 2. Metodologia para o Trabalho.. 3. 2.1 - Objetivos do Estudo.. 3. 2.1.1 - Objetivos Específicos.. 3. 2.2 - Justificativa do Estudo.. 3. 2.3 - Marco da pesquisa e motivação para o trabalho.. 4. 2.4 – Problema.. 4. 2.5 - Sujeito de pesquisa.. 5. 2.6 – Método.. 5. 2.6.1 – Estudo de Casos Múltiplos.. 5. 2.6.2 – Análise Qualitativa. 6. 3. Sustentação Teórica.. 09. 3.1. Visão Geral dos Riscos.. 09. 3.1.1 – Riscos e os tipos de exposições possíveis.. 16. 3.2. Análise de Riscos.. 17. 3.2.1. Análise dos Riscos Financeiros.. 18. 3.2.1.1.. Risco de Mercado.. 18. 3.2.1.2.. Risco de Crédito.. 19. 3.2.1.3.. Risco de Liquidez.. 19. 3.2.1.4.. Riscos Operacionais.. 20. 3.2.1.5.. Risco Legal.. 21. 3.2.2. Análise dos Riscos Empresariais.. 23. 4. Gerenciamento de Riscos.. 25. 4.1. As Competências para o Gerenciamento de Riscos.. 25. 4.2. O Processo de Gerenciamento de Riscos.. 28. 4.3. Gerenciamento de Riscos Empresariais.. 29. 4.4 Gerenciamento de Continuidade de Negócios. 29.

(11) 4.4.1 Fatores Críticos de sucesso de um Plano de Continuidade de. 31. Negócios (PCN). 4.4.2 Gerenciamento do PCN. 31. 4.4.3 Plano de Recuperação de Desastres PRD .. 32. 4.4.3.1 Objetivos do Plano de Recuperação de Desastres PRD. 32. 4.4.3.2 Etapas do Plano de Recuperação de Desastres PRD.. 33. 4.4.4 Perdas em função de paradas não programadas.. 38. 4.4.5 Plano de Continuidade Negócios do Bradesco.. 38. 4.5 Gerenciamento de Risco para Pequenas Empresas.. 39. 4.6 Gerenciamento de Risco para Empresas Familiares.. 42. 5 . Metodologias de Gerenciamento de Risco. 44. 5.1. Gerenciamento de Riscos - Metodologias Metrics Group.. 44. 5.1.1.. 44. Gerenciamento de Riscos Metodologia VaR.. 5.1.1.1. VAR e o Deutsche Bank. 45. 5.1.1.2. Gerenciamento de Riscos Metodologia EaR.. 45. 5.1.1.3. Gerenciamento de Riscos Metodologia CFaR.. 46. 5.2. ISO/IEC 27000.. 47. 5.3. Método Mósler para Análise de Riscos.. 48. 5.4. Método Milliam T. Fine para Análise de Riscos.. 49. 5.4.1. Grau de Criticidade de T-Fine.. 49. 5.4.2. Justificativa de Investimento.. 52. 5.4.2.1. Escala de Valoração do Índice de Justificação, conforme Método. 53. R. Pickers. 6. Análise da Aplicação do Gerenciamento de Risco nas PMES na cidade de S.B.C.. 54. 6.1 Descrição dos Casos Múltiplos.. 55. 6.1.1 Empresa A.. 55. 6.1.1.1 Caracterização da empresa.. 55.

(12) 6.1.1.2 Análise dos Dados. 56. 6.1.1.2.1. Nível do Impacto das Ferramentas de Gestão de Risco.. 57. 6.1.1.2.2. Maturidade do Gerenciamento de Risco.. 57. 6.1.1.2.3. Análise Geral do Gerenciamento de Risco da empresa.. 57. 6.1.2 Empresa B.. 57. 6.1.2.1 Caracterização da empresa.. 57. 6.1.2.2 Análise dos Dados. 58. 6.1.2.2.1. Nível do Impacto das Ferramentas de Gestão de Risco.. 60. 6.1.2.2.2 Maturidade do Gerenciamento de Risco.. 60. 6.1.2.2.3 Análise Geral do Gerenciamento de Risco da empresa.. 60. 6.1.3 Empresa C.. 60. 6.1.3.1 Caracterização da empresa.. 60. 6.1.3.2 Análise dos Dados. 62. 6.1.3.2.1. Nível do Impacto das Ferramentas de Gestão de Risco.. 63. 6.1.3.2.2 Maturidade do Gerenciamento de Risco.. 63. 6.1.3.2.3 Análise Geral do Gerenciamento de Risco da empresa.. 63. 6.2 Análise Comparativa do Gerenciamento de Risco dos. Casos. 64. 6.2.1 Análise Comparativa do uso das Ferramentas de Finanças e. 64. Múltiplos.. Controles para o Gerenciamento de Riscos. 6.2.2 Análise Comparativa do uso das Ferramentas de Operações para o. 65. Gerenciamento de Riscos. 6.2.3 Análise Comparativa do uso das Ferramentas de Relações com. 66. Terceiros para o Gerenciamento de Riscos. 6.2.4 Análise Comparativa do Impacto no uso das Ferramentas o. 68. Gerenciamento de Riscos. 6.2.5 Análise Comparativa da Maturidade do Gerenciamento de Riscos.. 69. 6.3 Respostas para as Perguntas da Pesquisa. 70.

(13) Conclusões Finais.. 71. Referências Bibliográficas. 72. Anexo – Questionário de Pesquisa. 76.

(14) CAPÍTULO 1 – INTRODUÇÃO Esta dissertação analisa a aplicação do gerenciamento de riscos em algumas empresas de pequeno e médio porte da cidade de São Bernardo do Campo. Normalmente, as metodologias e ferramentas de gerenciamento de riscos são usadas por grandes corporações. Uma importância dessa pesquisa é mostrar que as PMES podem utilizar o gerenciamento de riscos, mesmo que parcialmente, e serem beneficiadas por esse uso. As empresas de pequeno e médio porte normalmente não possuem uma grande vida útil. A pesquisa “Fatores Condicionantes e Taxa de Mortalidade de Empresas no Brasil”, realizada pelo Sebrae (Serviço Brasileiro de Apoio às Micro e Pequenas Empresas) no primeiro trimestre de 2004. Segundo o estudo, 49,4% das empresas brasileiras fecham suas portas com até dois anos de existência. A pesquisa do Sebrae mostrou que a principal causa do fracasso empresarial está relacionada à falhas gerenciais, destacando-se problemas como falta de planejamento na abertura do negócio (não criação de um plano de negócios), falta de capital de giro (indicando descontrole de fluxo de caixa), problemas financeiros (situação de alto endividamento), ponto comercial inadequado e falta de conhecimentos sobre gestão. Um bom plano de negócios é fundamental para garantir boas condições de competitividade às empresas quando da sua criação. Ele deverá constar dos principais itens abaixo: sumário executivo; planejamento estratégico da empresa; descrição da empresa e seus produtos e serviços; plano operacional; plano de gestão de pessoal; análise de mercado identificando as forças, fraquezas, participação de mercado dos concorrentes; plano de marketing; plano financeiro. As informações apresentadas no plano de negócios também devem ser utilizadas internamente, guiando e validando os esforços de melhoria da empresa. Nesse caso, é necessário que exista um monitoramento periódico da situação atual em relação aos números previstos, ou metas, do plano. Esse monitoramento é feito criando um (ou vários) Painel de Metas da empresa. Esse tipo de instrumento deveria guiar qualquer processo de melhoria organizacional em qualquer empresa. Segundo Mintzberg & Lampel& Quinn& Ghoshal (2006,78), a estratégia corporativa é o modelo de decisões de uma empresa que determina e revela seus objetivos, propósitos ou metas, produz as principais políticas e planos para atingir essas metas e define o escopo de negócios que a empresa vai adotar. A escolha estratégica compreende alternativas que devem ser ordenadas em termos de grau de risco que representam, de forma que possam ser comparadas com padrões de receptividade para as expectativas da sociedade que o estrategista escolheu. Segundo Saurina & Trucharte (2004,122), em alguns paises as PMEs (pequenas e médias empresas) podem representar a principal fonte de empregos e renda e os bancos nesse caso destinam grandes volumes de crédito para esses tipos de empresas e alguns casos, existem bancos exclusivamente para esse segmento de empresas..

(15) A análise de Riscos é outro fator que pode auxiliar no gerenciamento eficiente de uma empresa. Nessa análise são identificadas as seguintes áreas:: 1) Estudo das Vulnerabilidades do ambiente estudado; 2) Ameaças, tomando-se a análise das vulnerabilidades devemos definir as ameaças correspondentes; 3) Riscos, somente após termos definido as vulnerabilidades e as ameaças podemos identificar os riscos inerentes. Nessa dissertação de mestrado é analisado o Gerenciamento dos Riscos empresariais. A Análise de Riscos possui uma importância crescente dentro das grandes corporações. Essa importância aumentou significativamente após a adoção das regulamentações Sarbanes-Oxley em 2002 pela SEC (Comissão de Valores Mobiliários dos Estados Unidos). A habilidade para gerenciar os riscos do negócio frente as ine vitáveis incertezas e com uma valorização futura dos resultados é um fator substancial de vantagem competitiva. O uso das ferramentas de administração dos riscos empresariais permite a criação de valor para a organização..

(16) CAPÍTULO 2 – METODOLOGIA DE PESQUISA 2.1 – Objetivos do Estudo. O principal objetivo desse estudo é analisar o impacto da utilização dos artefatos de gerenciamento de riscos nas empresas de pequeno e médios porte (PMEs) na cidade de São Bernardo do Campo. 2.1.1 – Objetivos Específicos – Como objetivos específicos o estudo visa: a) Levantar o impacto na utilização da análise de risco nas operações das empresas; b) Desenvolver recomendações sobre a utilização do gerenciamento de riscos para as PMEs. 2.2 – Justificativa do estudo. O presente estudo traz uma relevância social principalmente ao atender apelo dos stakeholders haja vista a área de de gerenciamento de riscos empresariais desempenha um fator de impacto nas organizações. Ressalta -se que as volatilidades dos mercados mundiais atuais recomendam o uso da gestão de riscos. O Gerenciamento de Riscos deve ser utilizado, mesmo que parcialmente, pelas empresas de pequeno e médio porte para proteger e otimizar seus ativos. As PMEs referidas nessa pesquisa são classificadas segundo seu porte através de dois critérios principais:. – Classificação das empresas segundo seu porte – padrão SEBRAE: Segundo o SEBRAE, a adoção de critérios para a definição de tamanho de empresa constitui importante fator de apoio às micro e pequenas empresas, permitindo que as firmas classificadas dentro dos limites estabelecidos possam usufruir os benefícios e incentivos previstos nas legislações que dispõem sobre o tratamento diferenciado ao segmento, e que buscam alcançar objetivos prioritários de políticas públicas. A Classificação das Empresas por seu Porte, segundo o Sebrae, é definida da seguinte forma: a)Microempresa: na indústria, até 19 pessoas ocupadas; no comércio e serviços, até 09 pessoas ocupadas; b) Pequena empresa: na indústria, de 20 a 99 pessoas ocupadas; no comércio e serviços, de 10 a 49 pessoas ocupadas; c) Média empresa: na indústria, de 100 a 499 pessoas ocupadas; no comércio e serviços, de 50 a 99 pessoas ocupadas;; d) Grande empresa: na indústria, acima de 499 pessoas ocupadas; no comércio e serviços, acima de 99 pessoas ocupadas.. – Classificação das empresas segundo seu porte – padrão BNDES: O BNDES classifica as empresas segundo seu porte, conforme modelo abaixo: a) Microempresas: receita operacional bruta anual ou anualizada inferior ou igual a R$ 1.200 mil (um milhão e duzentos mil reais); Pequenas Empresas: receita operacional bruta anual ou anualizada superior a R$ 1.200 mil (um milhão e duzentos mil reais) e inferior ou igual a R$ 10.500 mil (dez milhões e quinhentos mil.

(17) reais); Médias Empresas: receita operacional bruta anual ou anualizada superior a R$ 10.500 mil (dez milhões e quinhentos mil reais) e inferior ou igual a R$ 60 milhões (sessenta milhões de reais); Grandes Empresas: receita operacional bruta anual ou anualizada superior a R$ 60 milhões (sessenta milhões de reais). Considera-se receita operacional bruta anual, a receita auferida no ano -calendário com o produto da venda de bens e serviços nas operações de conta própria, o preço dos serviços prestados e o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais concedidos. 2.3 Marco da pesquisa e motivação para o trabalho. A principal motivação para o trabalho relaciona-se com a necessidade das empresas em valorizarem seu capital intelectual e dessa forma, criarem mecanismos para proteção de seus principais ativos. Além disso, as empresas de pequeno e médio porte normalmente não são altamente estruturadas. Dessa forma, elas deveriam adotar práticas de gerenciamento de riscos, como as grandes corporações fazem, para otimizar seus ativos e também evitar prejuízos. A Pesquisa identifica o impacto do Gerenciamento de Riscos em algumas empresas de pequeno e médio porte da região de São Bernardo do Campo. As pequenas e médias empresas PMEs normalmente estão em maior exposição aos riscos empresariais, tendo em vista o seu menor poder de geração de resultados. Atualmente as pequenas empresas estão tendo uma grande mortalidade, segundo pesquisa do SEBRAE 49% das micros e pequenas empresas não completam 2 anos de vida. Essa mortalidade ou fechamento das empresas não é uma preocupação exclusiva do Brasil. Nos paises mais desenvolvidos, normalmente as empresas são abertas rapidamente mas, somente começam a pagar impostos após 2 anos de existência controlada pelos órgãos fiscalizadores locais. 2.4 - Problema. As pequenas e médias empresas PMEs normalmente estão em maior exposição ao risco, tendo em vista o seu menor poder de geração de resultados. Existe uma tendência atual das PMEs terem um vida útil de pequena duração, segundo pesquisa do SEBRAE que cita que as micros e pequenas empresas não completam 2 anos de vida. Esta pesquisa visa responder as seguintes perguntas motivadoras/norteadoras: - As empresas pesquisadas da cidade de São Bernardo do Campo possuem um vida útil maior que 3 anos ? - As empresas pesquisadas da cidade de São Bernardo do Campo utilizam metodologias e/ou ferramentas de gerenciamento de risco corporativo ? - As empresas pesquisadas da cidade de São Bernardo do Campo consideram necessário o uso de técnicas de gerenciamento de riscos empresariais e de um certo modelo correlato para garantir uma maior perenidade de seus negócios?.

(18) - As empresas pesquisadas da cidade de São Bernardo do Campo adotam políticas de gerenciamento de riscos ? - Quais as metodologias e/ou ferramentas de gerenciamento de riscos adotam as empresas pesquisadas da cidade de São Bernardo do Campo?. 2.5 Sujeito de pesquisa. O sujeito da pesquisa será o Gerente Administrati vo/Financeiro responsável pelo Gerenciamento de Riscos nas empresas de médio e pequeno porte da região do grande ABC. 2.6 Método. A amostra é composta de quatro empresas de pequeno e médio porte da cidade de São Bernardo do Campo selecionadas por conveniência.. O método focou-se no Estudo de Casos Múltiplos e ao final foram utilizadas técnicas de análise qualitativa. 2.6.1 – Estudo de Casos Múltiplos. YIN (2001, 27) apresenta quatro aplicações para o Método do Estudo de Caso: 1. Para explicar ligações causais nas intervenções na vida real que são muito complexas para serem abordadas pelos 'surveys' ou pelas estratégias experimentais; 2. Para descrever o contexto da vida real no qual a intervenção ocorreu; 3. Para fazer uma avaliação, ainda que de forma descritiva, da intervenção realizada; e 4. Para explorar aquelas situações onde as intervenções avaliadas não possuam resultados claros e específicos. O Estudo de Caso deve ser utilizado quando a pesquisa propõe uma questão do tipo “como” ou “porque” sobre um conjunto contemporâneo de acontecimentos sobre o qual o pesquisador tem pouco ou nenhum controle. No que se refere ao Projeto de Pesquisa para a utilização do Estudo de Caso, alguns componentes, conforme YIN (2001,42), são especialmente importantes e darão sustentação ao processo de pesquisa: - Questões de Estudo: Este método é indicado para responder às perguntas "como" e "porque" que são questões explicativas, nos estudos que tratam de relações operacionais que ocorrem ao longo do tempo mais do que freqüências ou incidências e de eventos contemporâneos. Mas, onde é possível fazer observações diretas e entrevistas sistemáticas e a primeira tarefa a ser empreendida é a clarificação precisa da natureza das questões. Esta tarefa é importante pois, ela norteará todo o trabalho a ser realizado. - Proposições do Estudo: As proposições dizem respeito ao que será examinado dentro do escopo do trabalho e sua definição ajudará na decisão de onde procurar evidências relevantes. Sem estas proposições, o investigador poderá coletar 'tudo' o que tornará impossível de ser feito. Alternativamente às proposições, o investigador pode estabelecer o propósito para o estudo ou mesmo definir os critérios pelos quais será analisado o sucesso da investigação..

(19) - Unidade de Análise: Ela está relacionada com a definição do que o caso é e ela pode ser um indivíduo, uma decisão, um programa, pode ser sobre a implantação de um processo e sobre uma mudança organizacional. A definição da unidade de análise está ligada à maneira pela qual as questões de estudo forma definidas. - Ligação dos Dados à Proposição e a os Critérios para a Interpretação dos Dados. Estes dois componentes, que representam a análise no Estudo de Caso e o projeto de pesquisa deverão ser a base sobre a qual esta análise será feita, relacionandose as informações obtidas com as proposições estabelecida no início da elaboração do projeto de pesquisa. Com relação aos critérios para interpretação dos dados, as análises e inferências, em Estudos de Caso, são feitas por analogia de situações e buscam responder às questões por que e como inicialmente formuladas. Dessa forma, o investigador deverá construir uma teoria inicial relativa ao estudo a ser empreendido. Esta teoria deve ser formulada antes do início da coleta de dados e ela irá ajudar a cobrir de forma incremental as questões, a proposições ou o propósito do estudo, as unidades de análise e possibilitará a ligação dos dados às proposições e fornecerá os critérios para a análise dos dados. Ao final, o investigador terá um roteiro objetivo e habilitado para orientá -lo durante todo o processo de realização do estudo, que lhe dará direção para a definição dos dados a serem coletados e para a definição das estratégias para a sua análise, possibilitando-lhe fazer contribuições/generalizações para a teoria maior. Os Estudos de Caso Múltiplos possuem provas resultantes mais convincentes, porém são mais caros e consomem mais tempo para serem realizados. Os projetos de caso múltiplos devem seguir a lógica da replicação, e não da amostragem, e o pesquisador deve escolher cada caso cuidadosamente. Os estudos de casos múltiplos devem funcionar buscando resultados similares (replicação literal) ou contraditórios (replicação teórica) previstos explicitamente no princípio da investigação. 2.6.2 – Análise Qualitativa. A análise qualitativa permite analisar um fenômeno na sua totalidade, e facilita a exploração de contradições e paradoxos. Ela pode ser utilizada para fenômenos vinculados à cultura organizacional. Para Alasuutari (1995,7), a análise qualitativa é aquela em que a “lógica e a coerência da argumentação não são baseadas simplesmente em relações estatísticas entre variáveis, por meio das quais certos objetos ou unidades de observação são descritos”. Conforme Lüdke e André (1986) e Triviños (1987), as análises qualitativas são caracterizadas por serem essencialmente descritivas, utilizando com freqüência, transcrições de entrevistas e de depoimentos, e citações que permitam corroborar os resultados e oferecer alguns pontos de vista. Segundo Vieira & Zoain (2004, 18), a pesquisa qualitativa oferece descrições ricas e bem fundamentadas, além de explicações sobre processos em contextos locais.

(20) identificáveis. Além disso, esse tipo de pesquisa oferece um grau maior de flexibilidade ao pesquisador para a adequação da estrutura teórica ao estudo do fenômeno administrativo e organizacional desejado.. A análise qualitativa necessita do código qualitativo que é gerado através de técnicas de classificação precisas dos dados levantados pelos questionários de pesquisas, segundo Goode (1977, 408). As etapas principais para a codificação qualitativa são: 1) Esclarecer o que se deseja do material. Associar as questões de pesquisa aos objetivos específicos. 2) Estudar cuidadosamente os questionários completados. 3) Planejar as classes e os indicadores de classe. Definir as classes e indicadores de classe associados as questões de pesquisa e ao grau de importância de cada uma delas. Segundo Rocha (2005), existem três grandes aplicações para pesquisa qualitativa em Administração: estudos de processos; desenvolvimento de tipologias e estudos de culturas e sub-culturas na organizações e/ou sua associação com o comportamento de consumo.. Os processos estudados na área de Administração caracterizam-se pela existência de grande número de fatores intervenientes, em que as relações entre os fatores são complexas e desconhecidas. O desenvolvimento de tipologias é necessário para identificar suas características e as situações em que ocorrem. Os estudos de culturas e sub-culturas nas organizações, ou, ainda, sua associação com o comportamento de consumo é direcionado para a “descrição densa”, almejando-se chegar a uma percepção holística do grupo investigado, de modo a identificar suas crenças básicas, valores, medos, esperanças, ou expectativas. Em alguns estudos qualitativos inadequadamente conduzidos, o autor detém-se, às vezes, na indevida tentativa de explicar sua seleção de respondentes, buscando justificar o que não precisaria e nem deveria ser justificado, como: escolhas amostrais que, por sua própria natureza, são e devem ser de caráter intencional ou de conveniência. Outro erro consiste em realizar generalizações estatísticas. Não é incomum encontrar em pesquisas qualitativas em Administração, tentativas de generalização empírica do tipo: “a maior parte das empresas apresentou tais características”. O tipo de generalização empírica adequado seria o seguinte: “as empresas com tais características apresentaram tais comportamentos”. Um grande abuso na utilização de alguns métodos qualitativos consiste em confiar em fontes singulares ou superficiais, não realizando a desejada triangulação, ou seja, a busca de evidências convergentes de distintas fontes.. Mesmo assim,.

(21) quando aplicável, a preocupação do pesquisador deve ser a de reunir evidências de fontes distintas..

(22) CAPÍTULO 3 –SUSTENTAÇÃO TEÓRICA O estudo do impacto da análise de risco nas empresas nessa fase de levantamento teórico analisará as seguintes questões: visão geral dos riscos, mitigação dos riscos, análise dos riscos financeiros, classificar as empresas quanto ao seu porte, seguindo critérios do IBGE e SEBRAE; avaliação de uma empresa para identificar boas condições de governabilidade. 3.1 Visão Geral dos Riscos. Os riscos podem ser divididos em desastres, ameaças, vulnerabilidades e riscos. Segundo Delloite (2007) a análise de Riscos pode ser reduzida á seguinte fórmula: Risco = Ameaças x Vulnerabilidades x Impactos. - Vulnerabilidade. Ela é a Evidência ou fragilidade que eleva o grau de exposição dos ativos que sustentam o negócio (infra-estrutura física, tecnologia, aplicações, pessoas e a própria informação), aumentando a probabilidade de sucesso pela investida de uma ameaça. - Ameaças. A Ameaça é a Atitude ou dispositivo com potencialidade para explorar e provocar danos à segurança da informação, atingindo seus conceitos: Confidencialidade, Integridade e Disponibilidade. – Impactos. O Impacto é o resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades de um ativo, atingindo assim um ou mais conceitos da segurança da informação. Para poder iniciar a analise dos riscos devemos inicialmente definir o conceito do desastre/perigo ou Hazard. Ele associa o estado de causar danos à saúde, Meio Ambiente, Ativos tangíveis ou intangíveis (não poder salvaguardar ativos) e Processos naturais. Os tipos principais de desastres podem ser classificados em: Naturais – Inundações, Tempestades e terremotos; Ecológicos - Vazamento de óleo e poluição de rios, Tecnológicos – Industrial e energia nuclear; Estruturas, equipamentos, transportes, pesticidas, herbicidas e farmacológicas; Social – Assaltos, guerras, terrorismos, sabotagens ou doenças transmissíveis; Intangíveis – são atitudes e condições culturais não-físicas que afetam a probabilidade e severidade da perda. Eles são separados em perigos morais e perigos de atitudes não-cívicas. Os perigos morais envolvem a desonestidade das pessoas que causam as perdas intencionalmente. Os perigos de atitudes não-cívicas são causados de descuido ou desrespeito a pessoa ou a comunidade, como acumulo de lixo dentro da residência ou a falta de cuidado ao fumar cigarros. As principais ameaças são: Ameaça à Soberania, ela é decorrente de uma Entidade nacional ou internacional que tem a capacidade intencional de infringir algum dano a um sistema gerando evento que compromete a segurança; Ameaça às.

(23) organizações, são os recursos materiais, humanos, tecnológicos, nacional ou internacional, que possuem a capacidade intencional de infringir algum dano ao sistema operacional de uma organização gerando evento que compromete a segurança. As ameaças são ações ou situações que podem explorar uma vulnerabilidade. Segundo Santos (2005,2), os fatores determinantes dos riscos empresariais são condicionados as seguintes informações da atividade operacional da empresa: objeto social, quadro administrativo, quadro funcional, carteira de clientes, carteira de fornecedores, participação de mercado, situação financeira (utilizando os seguintes índices financeiros: liquidez, endividamento, imobilização, lucratividade, cobertura, rotatividade e rentabilidade), dívidas contingenciais e ativos intangíveis (como marca,patentes softwares, direitos autorais, razão social, franquias, localização, conhecimento técnico, capacidade de inovação). Segundo a Microsoft (2007), as ameaças são muito significativas e indicam que as organizações estão muito expostas aos riscos e dessa forma devem controlar essa situação, conforme exemplificado na figura 1:. Figura 1 – AMEAÇAS COMUNS NAS ORGANIZAÇÕES Ameaças comuns Ameaça. Exemplo. Descrição resumida da ameaça. Exemplo específico. Incidente catastrófico. Incêndio. Incidente catastrófico. Inundação. Incidente catastrófico. Terremoto. Incidente catastrófico. Forte tempestade. Incidente catastrófico. Ataque terrorista. Incidente catastrófico. Tumultos/agitações públicas. Incidente catastrófico. Deslizamentos de terras. Incidente catastrófico. Avalanche. Incidente catastrófico. Acidente industrial. Falha mecânica. Interrupção na energia elétrica. Falha mecânica. Falha de hardware.

(24) Falha mecânica. Falha nos controles ambientais. Falha mecânica. Acidente de construção. Pessoa bem-intencionada. Funcionários desinformados. Pessoa bem-intencionada. Usuário desinformado. Pessoa mal-intencionada. Hacker, cracker. Pessoa mal-intencionada. Criminoso cibernético. Pessoa mal-intencionada. Espionagem industrial. Pessoa mal-intencionada. Espionagem patrocinada pelo governo. Pessoa mal-intencionada. Engenharia social. Pessoa mal-intencionada. Funcionário atual descontente. Pessoa mal-intencionada. Antigo funcionário descontente. Pessoa mal-intencionada. Terrorista. Pessoa mal-intencionada. Funcionário negligente. Pessoa mal-intencionada. Funcionário desonesto (subornado ou vítima de chantagem). Pessoa mal-intencionada. Código de comunicação móvel mal-. Fonte: Microsoft (2007) A vulnerabilidade é uma característica de um sistema que permite que um evento ameaçador ocorra. Ela também pode ser considerada como uma disfunção de segurança, ou seja, fraqueza. Segundo a Microsoft (2007), as vulnerabilidades nas organizações ocorrem de maneira variada e diversificada exigindo uma atenção e cuidados contínuos. Elas podem ser identificadas na Figura 2: Figura 2 - Vulnerabilidades nas Organizações. Classe. Vulnerabilidade. Exemplo. Classe. Descrição. Ex. específico (se aplicável). Física. Portas destrancadas. Física. Acesso desprotegido às salas de computador.

(25) Classe. Vulnerabilidade. Exemplo. Física. Sistemas de combate a incêndio insuficientes. Física. Edifícios mal projetados. Física. Edifícios mal construídos. Física. Materiais inflamáveis usados na construção. Física. Materiais inflamáveis usados no acabamento. Física. Janelas destrancadas. Física. Paredes suscetíveis a um assalto físico. Física. As paredes internas não fecham totalmente o cômodo no teto e no chão. Natural. Prédio construído sobre uma falha geológica. Natural. Prédio localizado em uma zona de inundação. Natural. Prédio localizado em uma área de avalanche. Hardware. Patches ausentes. Hardware. Firmware desatualizado. Hardware. Sistemas mal configurados. Hardware. Sistemas sem segurança física. Hardware. Protocolos de gerenciamento permitidos através de interfaces públicas. Software. Software antivírus desatualizado. Software. Patches ausentes. Software. Aplicativos mal escritos. CSS (Cross site scripting). Software. Aplicativos mal escritos. Inclusão de código SQL.

(26) Classe. Vulnerabilidade. Exemplo. Software. Aplicativos mal escritos. Pontos fracos do código, como estouros de buffer. Software. Pontos fracos intencionais. Portas dos fundos do fornecedor destinadas ao gerenciamento ou recuperação do sistema. Software. Pontos fracos intencionais. Spyware, como programas de registro de teclas. Software. Ponto fraco intencional. Cavalos de Tróia. Software. Pontos fracos intencionais. Software. Erros de configuração. Processos manuais resultantes em configurações inconsistentes. Software. Erros de configuração. Sistemas sem proteção avançada. Software. Erros de configuração. Sistemas sem auditoria. Software. Erros de configuração. Sistemas sem monitoração. Mídia. Interferência elétrica. Comunicações Protocolos de rede não criptografados Comunicações Conexões a redes múltiplas Comunicações Protocolos desnecessários permitidos Comunicações Falta de filtragem entre segmentos da rede Humanas. Procedimentos mal definidos. Falta de preparo para responder aos incidentes. Humanas. Procedimentos mal definidos. Processos manuais. Humanas. Procedimentos mal definidos. Falta de planos de recuperação de desastres. Humanas. Procedimentos mal definidos. Testes dos sistemas de produção.

(27) Classe. Vulnerabilidade. Exemplo. Humanas. Procedimentos mal definidos. Violações não comunicadas. Humanas. Procedimentos mal definidos. Controle de alteração mal executado. Humanas. Roubo de credenciais. Fonte: Microsoft (2007) O risco é alguma certeza de expectativa de perda futura, normalmente indesejável que é mensurável em dinheiro/moeda. Ele pode ser definido como uma vulnerabilidade definida em custos. Para minimizar as vulnerabilidades devem ser identificadas medidas de Segurança, que são as ações corretivas para a vulnerabilidade. Segundo Baranoff (2004,10), o termo Risco Holístico ou Empresarial relaciona o conjunto completo das exposições ao risco. Os riscos também podem ser divididos em: riscos especulativos, onde existe uma possibilidade de ganho e perda; riscos puros, onde não existe possibilidade de ganho. A aversão ao risco é uma questão significativa, pois pode resultar em perdas de oportunidades. Para formular um Plano de Implementação de Segurança é necessário identificar os seguintes fatores: prontidão nas ações para garantir a segurança, plano de resposta aos riscos e plano de contingência ou recuperação. A coordenação/performance das vulnerabilidade e dos riscos aos ativos deve considerar: gerenciar as ameaças aos ativos para focar os esforços e determinar a necessidade da aplicação das políticas de segurança; identificar os pontos isolados de falha, os pontos críticos, as localizações de todos os riscos e as atividades relacionadas. As Regras para determinação da Redução e Segurança associadas aos Negócios deve identificar: níveis de tecnologia existentes e as melhores práticas de segurança para pronto atendimento, prevenção e proteção (missão crítica); definir, projetar, integrar tecnologias futuras e iniciativas relacionando todos os colaboradores e seus relacionamentos, além de definir pessoas-chaves ou lideres no processo; definir claramente, verificar e implementar políticas e requerimentos relacionando-os com todos os parceiros comerciais. Segundo Hamel e Prahalad apud Costa (2002,22) existem cinco formas de transformações estratégicas. Elas devem ser continuamente monitoradas, dessa.

(28) forma evitando mudanças que possam prejudicar as organizações, todavia as verdadeiras oportunidades e ameaças tendem a ocorrer, primordialmente, nas intersecções de duas ou mais mudanças simultâneas. Para identificar as oportunidades e ameaças para as organizações deve -se investigar primeiro os cruzamentos entre duas ou mais mudanças simultâneas. As possíveis mudanças são: Mudanças Tecnológicas; Mudanças no Estilo de Vida; Mudanças Demográficas; Mudanças Geopolíticas; Mudanças nas Regulamentações. Existem alguns conceitos e metodologias para a análise, forma sistemática, dos eventos futuros que podem impactar os negócios das organizações ou as atividades e programas das empresas ou entidades, avaliando o seu grau de turbulência e de vulnerabilidade. O critério de gravidade-urgência-tendência permite identificar acontecimentos futuros e selecionar aqueles que realmente merecem atenção especial da instituição. A identificação de eventos futuros é feita a partir de uma lista de eventos gerada por um brainstorming. Para analisar os eventos futuros é utilizado um processo proposto por Kepner e Tregoe apud Costa (2002,98) onde são avaliados para cada um: gravidade; urgência; tendência. Os processos de avaliação de timing permitem analisar a época mais provável de ocorrência e da sua probabilidade do evento futuro. O timing normalmente é expresso em anos, como: dentro de três a cinco anos, depois de dez anos, no sexto ano a partir de hoje. Para um perfeito entendimento das probabilidades do evento futuro deve -se classificar usando de três a cinco níveis: altíssima, alta, média, baixa e baixíssima. Existem processos e elementos para avaliar e quantificar o grau de impacto dos eventos, positivos e negativos sobre os negócios das empresas ou das atividades das entidades. A turbulência é o nível de conturbação no ambiente externo futuro da instituição. A turbulência é cada vez maior quando ocorrer algumas das seguintes situações: grande número de eventos futuros, tanto negativos como positivos, no horizonte próximo ou distante; concentração excessiva desses eventos no curto e médio prazo; média ou alta probabilidade de ocorrência de alguns eventos, tanto positivos ou negativos e grau de impacto significativo de eventos futuros. Os principais fatores determinantes do grau de turbulência são: a quantidade de eventos prováveis; a intensidade dos eventos e relevância do impacto provável (ou seu potencial de desestabilização da organização) e os efeitos de intensificação, que podem surgir pelo efeito sinérgico provocado pela concomitância da ocorrência de dois ou mais eventos. O fator geográfico pode também ser intensificador: dois eventos ocorrendo no mercado em regiões geográficas contíguas podem ser.

(29) potencializados. A turbulência decorrente da ocorrência simultânea de mais de um evento ou tendência também provoca um efeito intensificador. A vulnerabilidade está associada á eventual falta ou insuficiência de capacidade da organização para tomar providências ou contramedidas que impeçam a ocorrência de eventos futuros indesejáveis ou minimize os seus efeitos negativos. Esta capacidade deverá ser demonstrada pela implantação efetiva de processos para fazer avaliações e análises e para executar e monitorar as ações planejadas. Devem ser seguidas três fases para avaliar a turbulência: Primeira Fase: Elaborar o mapa de turbulência; Segunda Fase: Avaliar os eventos do mapa de turbulência, categorizando-os em três grandes grupos, chamados de eventos prioritários, eventos de preocupação e eventos de vigilância; Terceira Fase: Feita a classificação será dado o tratamento específico para cada tipo de evento mapeado. Segundo Costa (2002, 103) são sugeridas algumas indagações para identificar o timing das providências a serem tomadas para cada evento: Quais providências básicas a instituição deveria tomar para ter condições de aproveitar as oportunidades que seriam geradas pelo evento, ou, para remediar perdas, no caso de ameaças? Ou promover ou inibir a ocorrência de eventos indesejáveis? Quanto tempo se levaria para implantar completamente as providências mencionadas anteriormente? Qual será aquela de maior duração? Há alguma relação de dependência entre as providências? Qual a data mais tarde que se poderia admitir para o início da preparação das providências de maior duração, de tal forma que elas estejam completamente implantadas até a data mais cedo estimada para ocorrência do evento? Terceira Fase: Feita a classificação será dado o tratamento específico para cada tipo de evento mapeado. Eventos prioritários - serão feitos planos de ação específicos, incluídos para execução imediata, no plano estratégico da instituição. Eventos de precaução - serão feitos planos contingentes, que serão incluídos no plano estratégico num capítulo com esse título. Eventos de vigilância - não serão aceitos planos detalhados: eles serão acompanhados. 3.1.1 – Riscos e os tipos de exposições possíveis. Os riscos podem ser analisados relacionando-os aos tipos de exposições possíveis: - Exposições de Perda Pessoal - Risco Pessoal. Uma pessoa pode estar sujeita a morte prematura, doença, invalidez, desemprego e invalidez por idade. A empresa pode sofrer esse tipo de perda numa catástrofe, como incêndio, enchentes, atentados ( 11 de setembro de 2001). - Exposições de Perda de Propriedade - Risco de Propriedade. Os donos da Propriedade podem estar sujeitos a perdas diretas e indiretas. As perdas diretas ocorrem no caso da colisão de um carro, pelo custo do conserto. As perdas indiretas são referentes aos esforços e tempo para efetivar os reparos. As exposições de perda nesse caso, estão associadas a propriedade real como os edifícios e a propriedade pessoal como carros e moradias..

(30) - Exposições de Perda de Responsabilidade Legal - Risco de Responsabilidade Legal. Dentro da legalidade do sistema jurídico, as pessoas podem ser responsabilizadas por causarem danos aos outros. Ao estar exposta a possibilidade de perdas de responsabilidade legal, a pessoa terá de defender-se contra um processo judicial. O risco de responsabilidade legal pode ser causado por exposição a perda de catástrofes ou exposição à perda acidental. O primeiro é também conhecido como risco fundamental, uma perda numa catástrofe incluem grande número de exposições numa única localidade. O segundo é conhecido como risco particular, eles podem ser intencionais ou não intencionais. 3.2– Análise de Riscos: A análise de riscos esta sendo muito utilizada atualmente. A sua principal aplicação está voltada para minimizar os impactos negativos causados por imprevistos ocorridos nas empresas. Segundo Imoniana (2005,52) a Análise de Riscos é uma metodologia adotada pelos auditores para saber, com antecedência, quais as ameaças puras ou prováveis em um ambiente de Tecnologia de Informação de uma organização. Os Eventos podem ter impacto negativo, positivo ou ambos. Os Eventos com um impacto negativo representam os riscos, que podem ser evitar a criação de valor ou a diminuição significativa do valor existente. Eventos com impacto positivo devem eliminar os impactos negativos ou representar oportunidades. Oportunidades são as possibilidades que um evento ocorra e que positivamente afete os objetivos, suportando a criação de valor ou prevenção. O Gerenciamento de canais de oportunidades direciona a sua estratégia ou processos de definição de objetivos para a formulação de planos que dimensionam as oportunidades. As etapas da Análise de Riscos são definidas as seguinte forma: Etapa 1 - Identificação dos riscos; Etapa 2 - Projeção/ Estimativas dos riscos; Etapa 3 - Avaliação das Estimativas realizadas; Etapa 4 – Administração dos riscos; Etapa 5 – Monitoramento dos Riscos. Na etapa 1 devem ser definidos os seguintes Riscos : projeto : falta de recursos, tempo, dinheiro, pessoal, produtos do cliente; técnicos : dificuldades no projeto, implementação, instalação e manutenção devido a complexidade, tamanho e estrutura do sistema, que pode ser muito mais difícil de ser realizado; negócio : aumento de preço, falta de mercado, falta de apoio, falta competência para vendas. A etapa 2 é composta de: definição da estimativa (ri, li, x). Os parâmetros são: Descrição (ri); Probabilidade (li) [alta, média, baixa]; Impacto (xi) [alto, médio, baixo] para controle da gravidade (abrangência & duração) e os aumento de custos, tempo e diminuição no faturamento. Na etapa 3 identifica-se: Priorização dos Riscos Principais. Uso da Regra de Pareto, 80 % dos problemas decorrem de 20 % dos custos. Análise do Custo x.

(31) benefício de providências para evitar a ocorrência dos riscos e minimizar suas conseqüências; Definição dos níveis de Riscos Referentes. Eles podem encerrar o projeto quando houver: excesso de custos (+% custo), descumprimento de prazos (+% tempo), degradação nos valores de faturamento e rentabilidade (-% performance); Necessidade da comparação entre os Riscos principais e os Riscos referentes. A etapa 4 necessita da criação de um Plano de Administração e Monitoramento dos Riscos. Definição de maneiras de controlar o projeto: Providências para evitar a ocorrência de um risco; Providências para minimizar suas consequências para: + gente, + treinamento, + documentação, + trabalho em equipe, + consultores ... A etapa 5 define as maneiras de monitorar os riscos: “Vigiar” a ocorrência de um risco previsto; Garantir que os passos previstos na etapa 4 sejam realizados; Coletar medidas ou informações que possam ser usadas em futuras análises. 3.2.1 Análise dos Riscos Financeiros. Segundo Jorion (2003, 14), os Riscos Financeiros também estão identificados normalmente como VAR ( Value at Risk , ou valor associado ao Risco). Porém, eles podem assumir várias abordagens diferentes, como: Risco de Mercado, gerado pelos movimentos nos níveis ou nas volatilidades dos preços de mercado; Risco de Crédito, originado quando as contrapartes não desejam ou não são capazes de cumprir suas obrigações contratuais; Risco de Liquidez, pode ser dividido em risco de liquidez de ativos e de financiamento; Risco Operacional, causado pelos erros humanos, tecnológicos ou de acidentes; Risco Legal, ocorre quando uma transação não pode ser amparada por lei. 3.2.1.1 Risco de Mercado. Segundo Jorion (1997,p.3/4), o Risco de Mercado trata-se da incerteza associada a flutuações nos preços de ativos ou taxas de juros e câmbio. Segundo “Riskmetrics thecnical documents” do JP Morgan, o risco de mercado é considerado como: (...) é a incerteza sobre a receita futura, como resultado de variações no valor das carteiras compostas de instrumentos financeiros. Esse risco é a conseqüência de buscar “formar mercados”, assumir posições e gerenciar ativos e passivos (asset/hability management) nos mercados de taxa de juros, câmbio, ações e mercadorias. Existem dois tipos de Riscos de Mercado: Risco de Mercado Absoluto, direciona a volatilidade dos retornos totais; Risco de Mercado Relativo, mede o risco em termos do desvio em relação a algum índice. O risco de mercado também pode ser classificado em risco direcional e risco não direcional. O risco direcional trata de vulnerabilidades à direção dos movimentos das variáveis financeiras, tais como os preços das ações, as taxas de juro, as taxas de câmbio e os preços de commodities. Estas vulnerabilidades são medidas por aproximações lineares..

(32) O risco não direcional trata dos demais riscos, que consistem em exposições nãolineares e exposições a posições imunizadas ou a volatilidades. O risco de base origina-se de movimentos não-antecipados nos preços relativos dos ativos de uma posição imunizada, como spreads de futuros ou de taxas de juro. O risco de volatilidade mede a vulnerabilidade a movimentos na volatilidade histórica ou na volatilidade implícita. O risco de mercado é controlado por limites de nocionais, de exposições, de medidas de VAR e por meio de supervisão independente pelos gestores de risco.. 3.2.1.2 Risco de Crédito. O Risco de Crédito é originado quando as contrapartes não desejam ou não são capazes de cumprir suas obrigações contratuais. Seu efeito é medido pelo custo de reposição dos fluxos de caixa, caso a outra parte fique inadimplente. Essa perda engloba a exposição dos fluxos de caixa, ou o montante em risco, e a taxa de recuperação, definida como o montante pago ao credor. O risco pode ser definido como perdas potenciais em valores marcados a mercado, que seriam incorridas no caso de haver um evento de crédito. O risco soberano ocorre quando países impõem controles cambiais que impossibilitem as contrapartes honrar com suas obrigações. O risco de liquidação acontece na ocorrência de dois pagamentos efetuados no mesmo dia. A contraparte pode inadimplir depois que a instituição fez seu pagamento. 3.2.1.3 Risco de Liquidez. O Risco de Liquidez pode ser dividido em risco de liquidez de ativos e de financiamento. O risco de liquidez de ativos ou de mercado /produto acontece no caso de uma transação não poder ser efetuada aos preços de mercado prevalecentes, em razão do tamanho da posição quando comparada ao volume normalmente transacionado. O risco de liquidez de financiamento ou risco de caixa acontecerá na incapacidade de honrar pagamentos, o que pode obrigar a uma liquidação antecipada, transformando perdas escriturais em perdas reais.. 3.2.1.4 - Riscos Operacionais. Risco Operacional é causado pelos erros humanos, tecnológicos ou de acidentes. As fraudes, falhas gerenciais e controles e procedimentos inadequados, também são incluídos nesse tipo de risco. O risco operacional pode resultar em risco de crédito e de mercado..

(33) Segundo Alves & Cherobim (2006,1), no Brasil, a divulgação do risco operacional é voluntária. No entanto, a não obrigatoriedade da divulgação desse risco não indica necessariamente que acionistas e stakeholders prescindam desse tipo de informação. Segundo IT Governance Institute (2007), o Risco Operacional de uma empresa exige o controle de vários níveis de situações, desde a identificação até a criação de uma estratégia de controle e otimização para poder planejar e efetivar uma adequada Estratégia de Risco. Esse tipo de Risco Operacional pode ser representado pela figura 3:.

(34) Figura 3 – Risco Operacional. Estratégia de Risco Estrutura Organizacional Relatórios Definições, Períodos e Estruturas. Indicadores Chave de Riscos. Perda de Informações. Avaliação de Riscos. Mitigação. Modelagem do Capital. Tecnologia de Informação. Adaptada do original da KPMG (2007).. 3.2.1.5 - Risco Legal. O Risco Legal ocorre quando uma transação não pode ser amparada por lei. Uma situação característica é relacionada ao risco de crédito, onde as contrapartes podem tentar o uso de meios legais para invalidar a transação. Para incentivar o gerenciamento de riscos financeiros nos Bancos em todo mundo e aproximar os conceitos de capital regulatório e econômico, o Comitê da Basiléia finalizou em 2004 uma nova versão do acordo de capital, conhecida como Basiléia II. A Basiléia II está fundamentada em três pilares para assegurar a segurança e confiabilidade do sistema financeiro internacional. Esse Acordo exige três níveis de administração: abordagens múltiplas para cálculo do capital mínimo, melhoria do exame do órgão supervisor e maior transparência para o mercado, conforme figura 4 :.

(35) Figura 4 - Os três Pilares do Acordo de Basileia II. Fonte: Delloite (2007). O requerimento mínimo de capital é o pilar mais significativo em termos de impacto nas atividades das instituições e afeta diretamente o processo de revisão e de divulgação para o mercado. Os impactos da Basiléia II no Brasil envolvem várias questões sobre o mercado, crédito e nível operacional. Essas questões podem ser demonstradas na figura 5:.

(36) Figura 5 – Impactos da Basiléia II no Brasil. Fonte: Delloite (2007). 3.2.2 – Riscos Empresariais. O conjunto de todos os riscos que uma empresa está exposta é identificado como riscos empresariais. O Risco Empresarial Total , segundo Seiffert (2005, 59) é dividido em ambiente interno e externo. Os riscos relativos ao ambiente externo são: separados em macro-ambiente e setorial. Os riscos de macro-ambiente são: políticos legais, econômicos, demográficos, naturais, tecnológicos e sociais. Os riscos setoriais são: fornecedores, clientes, concorrentes e produtos alternativos. O ambiente interno para os riscos é separado em financeiro e operacional. Os riscos financeiros são identificados como liquidez, crédito, mercado e legais. O operacional divide-se em geral e funcional. Os riscos gerais estruturam-se em: estrutura de custos, sucessão, fraudes, corporativos, sistemas, greve, erros, infra-estrutura. Os riscos funcionais aparecem representados da seguinte forma: área administrativa, área de compras, área de marketing, área de vendas, área de produção/logística, área de sistemas/Internet, área contábil/fiscal, área de distribuição..

(37) – Classificação dos Riscos Empresariais. Normalmente os Riscos Empresariais podem ser divididos da seguinte forma: Riscos Estratégicos - São associados aos cenários, planos, diretrizes e decisões que definem e integram os recursos e serviços internos e externos, para cumprir o objetivo de negócios da empresa. Riscos Operacionais – São relacionados aos problemas operacionais na prestação de serviços ou elaboração de produtos, assim como à incapacidade de reagir adequadamente diante de situações negativas imprevistas. Englobam: falha em identificar esses riscos; gerenciamento de riscos operacionais problemático por conta de particularidades geográficas; mecanismos pouco definidos de mensuração da performance; inabilidade em operacionalizar as estratégias; atenção inadequada ao recrutamento, seleção, curva de aprendizado e retenção de talentos; dificuldade em manter os talentos gerenciais. Ele é gerenciado com a metodologia de Análise do Modo e dos Efeitos da Falha (Failure Mode and Effects Analysis – FMEA), a qual foi utilizada originalmente para controlar o risco operacional nas atividades industriais. Essa metodologia tem a finalidade de prevenir perdas, por meio da análise das relações de causa e efeito, além de hierarquizar os riscos operacionais a partir da resultante NPR (número de prioridade de risco), decorrente do produto de três variáveis: O x I x D, onde O é ocorrência, I é impacto e D é detecção. Esta última é a medida da capacidade do sistema de controles em detectar uma falha antes que ela produza a perda ou alcance o cliente. Riscos Financeiros – São os riscos associados às flutuações de taxas de juros e de câmbio ou à impossibilidade da empresa em arcar com suas obrigações. Incluem: identificação incorreta dos riscos financeiros e das conseqüências de problemas operacionais; definição inadequada nas relações custo/benefício; reduções de custos de curto prazo que não justificam os custos no longo prazo. Riscos Regulatórios – Relativos à violação de leis, regras, regulamentações, melhores práticas e padrões éticos. Exemplos: comportamento inadequado diante da entrada em vigor de regras regulatórias mais rígidas como a Lei SarbanesOxley, as normas previstas no Acordo da Basiléia II. Riscos Tecnológicos – Referem-se à incapacidade do ambiente de TI do provedor de serviços em processar e entregar os produtos de forma adequada. Esses riscos incluem: estratégia inadequada de migração e transição; desconsideração de avanços tecnológicos; definição ou compreensão incorretas sobre os requisitos necessários ao suporte à infra-estrutura, operações e ao consumidor final; proteção ao capital intelectual; dificuldade em definir, implementar, gerenciar e manter normas de segurança e privacidade. Riscos à Reputação – São os riscos de publicidade negativa geradas por atitudes gerenciais incorretas. Incluem: o impacto da transição sobre os serviços ao consumidor; risco de perda de contato direto com o consumidor final..

(38) CAPÍTULO 4 – GERENCIAMENTO DE RISCO O Gerenciamento de Riscos visa estabelecer um padrão otimizado e integrado da análise de riscos empresariais envolvendo todas as atividades relacionadas a identificação, redução e aceitação de risco. Uma aplicação empresarial do Gerenciamento de Riscos é descrita por Mello & Cunha (2004,159), “são apresentados os elementos explicativos do processo de administração do risco, inferidos a partir de um estudo na indústria de construção de edificações. Altamente atomizada e basicamente constituída de pequenas empresas, geralmente familiares, a indústria de construção de edificações é particularmente afetada por decisões judiciais e políticas governamentais, principalmente devido à relevância social de seu produto, à relevância econômica e social de sua atividade e ao impacto em questões ambientais e de desenvolvimento municipal.”. 4.1 – As competências para o Gerenciamento de Riscos. As competências para o Gerenciamento de Riscos envolvem várias habilidades e a necessidade de amplos conhecimentos na área. Segundo Mondarini (2005, 63), as principais habilidades e competências para o Gerenciamento de riscos podem ser descritas como: alto grau de organização/planejamento; busca da perfeição; criatividade para identificar possíveis situações futuras de risco; conhecimento total da empresa para determinar a importância de cada informação e processo de negócio; facilidade de relacionamento e de atuação nos trabalhos em grupo; identificar fontes de dados ou informações de interesse; assinalar ferramentas e técnicas aplicáveis; examinar registros e documentos; monitorar a Internet e meios de comunicação (falado e escrito); contatar clientes, fornecedores ou parceiros (tendo o cuidado com a falta de ética) e especialistas; delinear o perfil psicológico de tomadores de decisão concorrentes; prospectar, simular e projetar cenários. Os Principais Cargos relacionados ao Gerenciamento de Risco são os seguintes: - Gerente Financeiro – Os Riscos normalmente estão associados a prejuízos finaceiros. Dessa forma, o Gerente Financeiro pode faze r o controle do Gerenciamento de Riscos; - Gerente de Qualidade – Como as Normas de Qualidade Nacionais e Internacionais estão associadas aos controles de processos e melhoria continua de qualidade o Gerente de Qualidade tem condições de executar o Gerenciamento de Riscos. - Analistas Financeiros – O Gerente Financeiro pode treinar e delegar essa responsabilidade para um de seus analistas..

(39) - Analistas de Qualidade ou Engenheiros de Qualidade – O Gerente de Qualidade pode treinar e delegar essa responsabilidade. - Gerente de TI – O Gerente de TI pode gerenciar os riscos de toda a organização, em virtude da necessidade do gerenciamento dos riscos envolvidos em TI serem uma parte dos riscos empresariais. - Auditores Internos e Externos – Eles auditoram todos os processos de negócio. Dessa forma, eles poderão fazer o gerenciamento dos riscos. Segundo COSO Framework existem várias ações que podem ser executadas pelos vários níveis hierárquicos: • Conselho de Diretores/Alta Direção da Companhia- O Conselho deve discutir com o principal executivo da organização o estado atual da do ERM corporativo e prover todos os recursos necessários para o seu gerenciamento. O Conselho de garantir a identificação dos riscos mais significativos e garantir o efetivo gerenciamento deles. O Conselho deve considerar as informações geradas pelos auditores externos e internos. • Principal Executivo/Gerente Financeiro – Ele tem as capacidades necessárias e acesso à todas as informações para gerenciamento dos riscos organizacionais. • Outras Pessoas na Organização - Outros gerentes e pessoas da organização podem discutir e identificar necessidades e características necessárias para o gerenciamentos dos processos de negócio voltados para o gerenciamento dos riscos empresariais. Com as pesquisas de Gorvett & Nambiar (2006), pode-se deduzir os organogramas principais para determinar as áreas de atuação para o Gerenciamento de Riscos nas PMES:.

(40) Figura 6 – ERM OFFICE QUADRO ORGANIZACIONAL. Fonte: Adaptado de Gorvett & Nambiar (2006) A partir das pesquisas de Gorvett & Nambiar (2006), conhecemos os organogramas principais para determinar os cargos voltados para o Gerenciamento de Riscos nas PMES:.

(41) Figura 7 – ERM OFFICE ORGANOGRAMA FUNCIONAL. Fonte: Adaptado de Gorvett & Nambiar (2006) 4.2 – O Processo de Gerenciamento de Risco. O Processo de Gerenciamento de Risco envolve as seguintes etapas: Segundo a Norma ISO/CD 17666-2000, a atividade de gestão de risco é considerada como contínua durante a duração de um projeto ou organização e deve ser precedida da definição de políticas e diretrizes de risco. Os estágios e ciclos no gerenciamento de riscos são representados nessa norma da seguinte forma: a) etapa1: definição dos requisitos de implantação da gestão de risco. As principais tarefas são: definir a política de gerenciamento de risco; preparar o plano de gerenciamento de risco; b) etapa 2: identificar e avaliar os riscos. As tarefas dessa etapa são: identificar os cenários de risco; avaliar os riscos; c) etapa 3: decidir e agir. As suas tarefas são: decidir se os riscos são aceitáveis; reduzir os riscos; recomendar a aceitação; d) etapa 4: monitorar, comunicar e aceitar os riscos. As tarefas devem representar: monitorar e comunicar os riscos; destacar riscos para aceitação (retorno para a tarefa de redução de custos em caso de não aceitação)..